Vulnerabilidad en Admin Classic de Pimcore (CVE-2024-25625)

El paquete Admin Classic de Pimcore proporciona una interfaz de usuario de backend para Pimcore. Se ha descubierto una posible vulnerabilidad de seguridad en `pimcore/admin-ui-classic-bundle` anterior a la versión 1.3.4. La vulnerabilidad implica una inyección de encabezado de host en la función `invitationLinkAction` del UserController, específicamente en la forma en que `$loginUrl` confía en la entrada del usuario. El encabezado del host de las solicitudes HTTP entrantes se utiliza de forma insegura al generar URL. Un atacante puede manipular el encabezado del host HTTP en solicitudes al ednpoint /admin/user/invitationlink, lo que genera la generación de URL con el dominio del atacante. De hecho, si se inyecta un encabezado de host en la solicitud POST, el parámetro $loginURL se construye con este encabezado de host no validado. Luego se utiliza para enviar un correo electrónico de invitación al usuario proporcionado. Esta vulnerabilidad se puede utilizar para realizar ataques de phishing haciendo que las URL de los correos electrónicos con enlaces de invitación apunten a un dominio controlado por el atacante. La versión 1.3.4 contiene un parche para la vulnerabilidad. Los fabricantes recomiendan validar el encabezado del host y asegurarse de que coincida con el dominio de la aplicación. También sería beneficioso utilizar un host o nombre de host confiable predeterminado si el encabezado del host entrante no se reconoce o está ausente.